Das Nationale Zentrum für Cybersicherheit (NCSC) erhält vermehrt Meldungen von sogenannten CEO-Betrugsfällen. Den Anstieg in den vergangenen Tagen erklärt das NCSC mit dem Beginn der Sommerferien. Zu dieser Zeit seien angesichts der Ferienabwesenheiten viele Stellvertreterinnen und Stellvertreter am Werk. Das wollen Kriminelle ausnutzen.

Betrüger verschaffen sich Zugang zum E-Mail Postfach

Beim CEO-Betrug stellen Kriminell einem Unternehmen oder einem Verein Rechnungen im Namen des CEO oder des Vereinspräsidenten. Dazu komme oft Business E-Mail Compromise zum Zug. Dabei verschaffen sich Angreifer Zugang zum E-Mail-Postfach einer Firma, um so gefälschte Rechnungen einzuschleusen. Die Angreifer haben ihr Vorgehen mittlerweile angepasst, um länger unerkannt zu bleiben. Das NCSC beschreibt das neue Vorgehen wie folgt: «In einem zweiten Schritt wird eine fiktive Kommunikation zwischen einem Angestellten des gefälschten Anwaltsbüros (zumeist nehmen die Betrüger dazu den Namen einer realen Person, welche dort arbeitet - in unserem Beispiel «Helen») und dem CEO der angegriffenen Firma erstellt (in unserem Beispiel «r*@*en.net»).»

Auch interessant
 
 
 
 
 
 

Kommunikation ist Fake aber die Adressen sind korrekt

Alle in dieser Fake-Kommunikation verwendeten E-Mail-Adressen sind korrekt - da diese in Wirklichkeit nie stattgefunden hat, sondern sehr gut gefälscht wurden. In der gefälschten Kommunikation erkundigt sich «Helen» beim CEO wegen einer angeblich noch nicht bezahlten Rechnung. In der ebenfalls gefälschten Antwort des CEO - welche nun auch an die Buchhaltung der Firma gehen kann - anerkennt der CEO offenbar die Rechnung und weist die Buchhaltung an, möglichst rasch die Zahlung zu prüfen und allenfalls zu bezahlen.

Betrüger übernehmen die Kommunikation

Kurz darauf meldet sich «Helen» per E-Mail nochmals beim Direktor, bedankt sich für die Unterstützung und bittet die Buchhaltung um die rasche Abwicklung des Geschäfts. In dieser E-Mail ist aber nun die E-Mail-Adresse des CEO geändert, sodass eine Antwort an alle nicht zum CEO sondern zu den Betrügern gehen würde.Die Kommunikation läuft von nun an direkt zwischen der betrügerischen «Helen» und der Buchhaltung und somit haben die Betrüger freie Hand. (hzi/wil)